Datenschutzrecht in Österreich Was Unternehmen jetzt wissen sollten. Friedrich Haidn (friedrich.haidn@sophos.com) Senior Sales Engineer, Sophos Österreich 1
Agenda Begrüßung und Einleitung Kurzvorstellung Sophos Rechtlicher Rahmen Aspekte der Data Protection SafeGuard Verschlüsselung Demo Q&A 2
Sophos Das Unernehmen 3
Sophos Snapshot 1985 FOUNDED OXFORD, UK $476M IN BILLINGS (APPX.) 2,752 EMPLOYEES (APPX.) HQ OXFORD, UK 200,000+ CUSTOMERS 100M+ USERS 90+% BEST IN CLASS RENEWAL RATES 15,000+ CHANNEL PARTNERS OEM PARTNERS: KEY DEV CENTERS KEY OFFICES 4
Unsere Ziele Security muss verständlich sein Alle Fähigkeiten, um Kundenwünsche zu erfüllen Security kann einfach sein Plattformen, Verteilung, Lizensierung, Benutzererfahrung Security ist als System am effektivsten Neue Möglichkeiten durch Technologie-Verknüpfung 5
Zeitreise mit Sophos Gegründet in Abingdon (Oxford), GB Peter Lammer 1985 Jan Hruska 1985 Zum besten britischen Unternehmen in der Kategorie KMU gekürt Gründung der Haupt-US- Niederlassung in Boston Auszeichnung mit 3 Queen s Awards für Enterprise, Innovation und International Trade Mehrheitsbeteiligung wird an Apax Partners verkauft Übernahme von DIALOGS Übernahme von Cyberoam Übernahme von Mojave 1985 1988 1989 1996 2002 2003 2008 2010 2011 2012 2013 2014 2015 Erstes Antivirus auf Basis von Prüfsummen Erstes signaturbasiertes Antivirus TA Associates Minderheitsbeteiligung Übernahme von ActiveState Übernahme der Utimaco Safeware AG Übernahme von Astaro Nicht zum Kerngeschäft zählende Cyber- Business-Sparte abgestoßen Übernahme von Börsengang 6
SophosLabs Securing the Enduser Portfolio Comprehensive Security Central and the Network Enduser Protection Virtual Security Next-Gen Firewall Secure Wi-Fi SafeGuard Encryption Mobile Control Server Security Network Storage AV UTM Secure Web Gateway Secure Email Gateway Sophos RED Secure VPN URL database Malware identities Whitelist File look-up Genotypes Reputation HIPS rules APT rules Apps SPAM Data control Anon. proxies Patches/ Vulnerabilities Peripheral types Made Simple. SIMPLE DEPLOYMENT SIMPLE MANAGEMENT SIMPLE SUPPORT SIMPLE SALES/ PROCUREMENT Choice of deployment onpremise, in the cloud or virtual. Intuitive consoles managed on-premise or from the cloud. All backed by expert support. 100% focus on the channel. 7
Rechtlicher Rahmen 8
Rechtsgrundlage Datenschutzgesetz 2000 1 DSG 2000; Artikel 8 EMRK; Artikel 8 EU-Grundrechtecharta Jedermann hat Anspruch auf Geheimhaltung seiner Daten! Ursprung: Grundrecht auf Achtung des Privat- und Familienlebens Geheimhaltung gegenüber Staat und Privaten Schutz vor Ermittlung und Weitergabe Voraussetzung: Personenbezogene Daten Schutzwürdiges Interesse Daten öffentlich / anonym? Quelle: Dr. Stephan Winklbauer, Aringer Herbst Winklbauer Rechtsanwälte, www.ahwlaw.at 9
Wichtigste Begriffe des Datenschutzgesetzes Definitionen in 4 DSG 2000 Personenbezogene Daten: DSG voll anwendbar Identität bestimmt (Name) oder Identität bestimmbar Anonymisierte Daten: DSG nicht anwendbar Herstellung eines Personenbezugs verlässlich ausgeschlossen? Praxistipp: Aggregierte Datensätze (Gruppe von mind. 5 Betroffenen 1 ) Indirekt personenbezogene (= pseudonymisierte) Daten: Beispiele Personenbezug: E-Mail Adresse IP-Adresse Kundennummer, etc... Identifikationsmerkmal durch Pseudonym/Code ersetzt Personenbezug für jeweiligen Betrachter nicht herstellbar Gesetzlich privilegiert (Geheimhaltungsinteressen, Meldepflicht, int. Datenverkehr)! 1 Empfehlung DSK, 22.5.2013, K213.180/0021-DSK/2013 Quelle: Dr. Stephan Winklbauer, Aringer Herbst Winklbauer Rechtsanwälte, www.ahwlaw.at 10
Akteure des Datenschutzgesetzes Auftraggeber Rechtschutzbehelfe Betroffener Entscheidung über Datenverwendung Datenschutzrechtliche Verantwortung Datenüberlassung Dienstleister Verwendet überlassene Daten... zur Durchführung des Auftrags Quelle: Dr. Stephan Winklbauer, Aringer Herbst Winklbauer Rechtsanwälte, www.ahwlaw.at 11
Wer bin ich? Auftraggeber Rechtschutzbehelfe Betroffener Entscheidung über Datenverwendung Datenschutzrechtliche Verantwortung Datenüberlassung Dienstleister Verwendet überlassene Daten... zur Durchführung des Auftrags Quelle: Dr. Stephan Winklbauer, Aringer Herbst Winklbauer Rechtsanwälte, www.ahwlaw.at 12
Wer bin ich? Auftraggeber Rechtschutzbehelfe Betroffener Entscheidung über Datenverwendung Datenschutzrechtliche Verantwortung Datenüberlassung Dienstleister Verwendet überlassene Daten... zur Durchführung des Auftrags Quelle: Dr. Stephan Winklbauer, Aringer Herbst Winklbauer Rechtsanwälte, www.ahwlaw.at 13
Wer ist (End-)Kunde? Auftraggeber Rechtschutzbehelfe Betroffener Entscheidung über Datenverwendung Datenschutzrechtliche Verantwortung Datenüberlassung Dienstleister Verwendet überlassene Daten... zur Durchführung des Auftrags Quelle: Dr. Stephan Winklbauer, Aringer Herbst Winklbauer Rechtsanwälte, www.ahwlaw.at 14
Wer ist (End-)Kunde? Auftraggeber Rechtschutzbehelfe Betroffener Entscheidung über Datenverwendung Datenschutzrechtliche Verantwortung Auskunfts-, Richtigstellungs- und Löschungsverpflichtungen treffen immer den Auftraggeber!! Quelle: Dr. Stephan Winklbauer, Aringer Herbst Winklbauer Rechtsanwälte, www.ahwlaw.at 15
Pflichten des datenschutzrechtlichen Auftraggebers 6-8 DSG 2000 Verarbeitung von Daten ist grundsätzlich verboten! Ausnahme von diesem Verbot? Zweck und Inhalt von gesetzlichen Zuständigkeiten / rechtlichen Befugnissen gedeckt und schutzwürdige Geheimhaltungsinteressen gewahrt Quelle: Dr. Stephan Winklbauer, Aringer Herbst Winklbauer Rechtsanwälte, www.ahwlaw.at 16
Datensicherheitsmaßnahmen 14 Abs 1 DSG 2000 Ziel:...dass die Daten vor - zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, - dass ihre Verwendung ordnungsgemäß erfolgt und - dass die Daten Unbefugten nicht zugänglich sind. Quelle: Dr. Stephan Winklbauer, Aringer Herbst Winklbauer Rechtsanwälte, www.ahwlaw.at 17
Datensicherheitsmaßnahmen 14 DSG 2000 Verpflichtung von Auftraggebern und Dienstleistern Maßnahmen abhängig von: - wie heikel sind Daten? - Stand der Technik - wirtschaftlicher Vertretbarkeit Vorab: Risikoanalyse Quelle: Dr. Stephan Winklbauer, Aringer Herbst Winklbauer Rechtsanwälte, www.ahwlaw.at 18
Datensicherheitsmaßnahmen Ausschnitt Gesetzestext - 14 Abs 2 DSG 2000 Empfehlenswert: IT-Grundschutzkataloge des dt. BSI https://www.bsi.bund.de/! Quelle: Dr. Stephan Winklbauer, Aringer Herbst Winklbauer Rechtsanwälte, www.ahwlaw.at 19
Datensicherheitsmaßnahmen 14 DSG 2000 Organisatorische Ebene: Aufgabenverteilung, Belehrung, Zugriffs- & Zutrittsberechtigungen,... Technische Ebene: Firewalls, Virenschutz, Verschlüsselung, IT-Infrastruktur,... Protokollierung/Dokumentation:...der getätigten Sicherheitsmaßnahmen (Beweiszweck!); Rückverfolgung von Verwendungsvorgängen (Übermittlungen, Änderungen etc), Aufbewahrungspflicht grds 3 Jahre Quelle: Dr. Stephan Winklbauer, Aringer Herbst Winklbauer Rechtsanwälte, www.ahwlaw.at 20
Data Breach Notification 24 Abs 2a DSG 2000 Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, hat er darüber unverzüglich die Betroffenen in geeigneter Form zu informieren. Ausnahmen: Geringfügiger Schaden droht oder Informationskosten unverhältnismäßig hoch Geeignete Form? Persönliche Nachricht/E-Mail, uu zusätzlich Zeitungsinserat Schadensminderungsobliegenheit Selbstbeurteilung des Auftraggebers Notfallplan ratsam! Quelle: Dr. Stephan Winklbauer, Aringer Herbst Winklbauer Rechtsanwälte, www.ahwlaw.at 21
Strafbestimmungen bei Rechtsverletzungen Derzeit: 52 DSG 2000 Mai 2018: EU- DatenschutzgrundVO Geldstrafe bis zu EUR 25.000,- zb: vorsätzliche Verletzung des Datengeheimnisses Geldstrafe bis zu EUR 10.000,- zb: gröbliche Missachtung von Datensicherheitsmaßnahmen nicht genehmigte Datenübermittlung ins EWR-Ausland Was ist passiert? Eingriff in Ausschließungsrecht! bis zu EUR 20.000.000,- oder bis 4 % des Jahresumsatzes weltweit Quelle: Dr. Stephan Winklbauer, Aringer Herbst Winklbauer Rechtsanwälte, www.ahwlaw.at Quelle: Dr. Stephan Winklbauer, Aringer Herbst Winklbauer Rechtsanwälte, www.ahwlaw.at 22
EuGH: Safe Harbor Abkommen ungültig Verfahren Max Schrems gegen irische Datenschutzbehörde 1 Bisher: Entscheidung der EU Kommission im Jahr 2000 Datenübermittlung in USA zulässig bei Unterwerfung unter Safe Harbor EuGH: Safe Harbor Abkommen nicht mit EU-Grundrechten vereinbar 1 Rechtssache C-362/14 Quelle: Dr. Stephan Winklbauer, Aringer Herbst Winklbauer Rechtsanwälte, www.ahwlaw.at 23
Datenschutzrechtliche Zulässigkeit von Cloud-Services Zulässige Datenverarbeitung: Zweck und Inhalt gedeckt, keine schutzwürdigen Interessen verletzt Innerhalb EWR Nur Abschluss Dienstleistervertrag nötig (Vertrag mit Cloud-Anbieter) Keine Genehmigungspflicht durch Datenschutzbehörde Außerhalb EWR Grundsätzlich Genehmigung durch Datenschutzbehörde erforderlich Außer Ausnahmetatbestand erfüllt (zb Zustimmung, Safe-Harbor, Standardvertragsklauseln) Quelle: Dr. Stephan Winklbauer, Aringer Herbst Winklbauer Rechtsanwälte, www.ahwlaw.at 24
EuGH: Safe Harbor Abkommen ungültig Bedeutung für Praxis Rechtslage Datensicherheitsmaßnahmen unverändert! Örtlich betroffen: Datentransfers in die USA Inhaltlich betroffen: Safe Harbor ersetzte - Zustimmung des Betroffenen - Genehmigung der Datenschutzbehörde ( DSB ) Alternativen: - Daten anonymisieren/pseudonymisieren - Zustimmung Betroffener oder Genehmigung DSB einholen - Standardvertragsklauseln Wie bisher: Genehmigung Datenschutzbehörde - Binding Corporate Rules Quelle: Dr. Stephan Winklbauer, Aringer Herbst Winklbauer Rechtsanwälte, www.ahwlaw.at 25
Key Points to Remember Heikle Zulässigkeitsprüfung erleichtert bei Anonymisierung oder Pseudonymisierung (Verschlüsselung!) Umfassende Datensicherheitsmaßnahmen erforderlich In Zukunft wohl erhöhte Verwaltungsstrafdrohungen Datentransfer in USA auch nach Safe Harbor möglich Quelle: Dr. Stephan Winklbauer, Aringer Herbst Winklbauer Rechtsanwälte, www.ahwlaw.at 26
EU-Datenschutz-Grundverordnung EU-Datenschutz-Grundverordnung (EU-DSGVO) verabschiedet! Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist am 14. April 2016 durch das EU-Parlament beschlossen worden. Sie ist am 04.05.2016 im Amtsblatt der Europäisches Union veröffentlicht worden und tritt damit am 25.05.2016 in Kraft. Anwendbar ist sie damit ab dem 25. Mai 2018. Quelle: https://www.datenschutz-grundverordnung.eu EU-DSGVO als PDF https://www.datenschutz-grundverordnung.eu/wpcontent/uploads/2016/05/celex_32016r0679_de_txt.pdf Gleichzeitige Aufhebung der EU-Richtlinie 95/46/EG Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Weitere Informationen https://www.wko.at/content.node/branchen/oe/sparte_iuc/ Werbung-und-Marktkommunikation/EU-Datenschutz-Grundverordnung-(GVO).html http://www.preslmayr.at/tl_files/publikationen/2014/entwurf%20der%20neuen%2 EU-Datenschutz-Grundverordnung_Knyrim.pdf Österreichisches Informationssicherheitshandbuch https://www.sicherheitshandbuch.gv.at/ 27
Datenschutzmaßnahmen 14 Abs 1 DSG 2000 Ziel:...dass die Daten vor - zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, - dass ihre Verwendung ordnungsgemäß erfolgt und - dass die Daten Unbefugten nicht zugänglich sind. Quelle: Dr. Stephan Winklbauer, Aringer Herbst Winklbauer Rechtsanwälte, www.ahwlaw.at 28
Aspekte der Data Protection 29
Steigender Druck auf IT Security EXPANDING ATTACK SURFACE GROWING RISK AWARENESS VANISHED PERIMETER INCREASED ATTACK SOPHISTICATION 30
Hacking-Plattformen sind zu 100% gerüstet. 2015 war ein gutes Jahr für Hacker. 70% Breach Rate $500B WW Damages 350K NEW Malware Nur ein Enterprise Problem? NEIN! Der Einsatz von Malware ist ein gewinnbringendes Geschäftsmodell. Jeder ist betroffen. 31
Malware as a Service (MaaS) Einfach und zielführend Fully integrated saas console including network and endpoint techniques from infecting a website, all the way to delivering an endpoint payload and selling the results Cross platform & Agile Developed Zero day exploits automatically included 32
Risiken für Unternehmen Reputation & Image Verlust von Kunden Bedrohung der Existenz z.b. bei Totalverlust von Geschäftsdaten für das tägliche Geschäft Strafen DSG 2000 EU-DSGVO 33
Bedrohung und Maßnahmen Zufällige oder unrechtmäßige Zerstörung Verlust Endpoint Protection Verschlüsselung DLP Server Protection Network Protection Gateway Verwendung ordnungsgemäß Protection Unbefugten nicht zugänglich Organisation Ext. Consulting IT / Recht Nachweis Backup & Restore Datenschutz Access Rights / Auditing 34
SophosLabs Bedrohungen und Maßnahmen Comprehensive Security Securing the Enduser Central and the Network Enduser Protection Virtual Security Next-Gen Firewall Secure Wi-Fi SafeGuard Encryption Mobile Control Server Security Network Storage AV UTM Secure Web Gateway Secure Email Gateway Sophos RED Secure VPN URL database Malware identities Whitelist File look-up Genotypes Reputation HIPS rules APT rules Apps SPAM Data control Anon. proxies Patches/ Vulnerabilities Peripheral types Made Simple. SIMPLE DEPLOYMENT SIMPLE MANAGEMENT SIMPLE SUPPORT SIMPLE SALES/ PROCUREMENT Choice of deployment onpremise, in the cloud or virtual. Intuitive consoles managed on-premise or from the cloud. All backed by expert support. 100% focus on the channel. 35
SafeGuard Verschlüsselung 36
SafeGuard Enterprise Überblick: Module Festplatten - verschlüsselung (FDE) Erzwungene Security Policy Zentrale Administration zur Umsetzung der Security Policy - Zeit- und kostenoptimiert - Zentrales Schlüsselmanagement - Einhaltung von Compliance Vorgaben inkl. Logging Location based Datenverschlüsselung für Arbeitsgruppen im Netzwerk Alternative Erweitertes Mgmt. - MS BitLocker (Windows 7 / 8 ) - Mac FileVault Encryption = AES 256 bit SafeGuard Enterprise Datenverschlüsselung in der Cloud Datenaustausch sowohl intern & extern Verschlüsselung von Wechselmedien Datenaustausch sowohl intern & extern 37
Next-Gen Data Protection SafeGuard Enterprise 8 38
Verschlüsselung wird zum Standard Daten werden standardmäßig verschlüsselt Application based (vs. Location based) Verschlüsselung ist persistent 39
Verschlüsselung als Schutz vor Bedrohungen Schutz der Daten im Fall einer Bedrohung Integration von Endpoint- und Verschlüsselungstechnologie Endpoint Protection Schutz der verschlüsselten Inhalte hat höchste Priorität Zugriff auf Schlüssel nur wenn vertrauenswürdiges Gerät vertrauenswürdiger Prozess vertrauenswürdiger User Data Protection 40
Ablauf beim Zugriff auf verschlüsselte Daten Ist das Gerät genau jetzt vertrauens-würdig? Ist der Prozess genau jetzt vertrauens-würdig? Darf der User auf diese Daten zugreifen? 41
Bereitstellung von Daten nach extern Entschlüsselung als bewusster Akt Regeln greifen bei Entschlüsselung Auditiert und protokolliert Externe Bereitstellung der Daten Klartext Verschlüsselte Datei HTML5 Wrapper Je einfacher, desto sicherer Outlook Plugin 42
Überall sicher und produktiv Geräteübergreifende Nutzung Windows, OS X, ios & Android Benutzer bleiben produktiv Im Büro und unterwegs mit allen Geräten Überall geschützt Zugriff auf sensible Daten nur auf Geräten, die sicher sind 43
Zentrales Management & Reporting Zentrales Management Zentrale Verwaltung aller Schlüssel und Geräte sowie Vorgabe der Verschlüsselungsrichtlinien Datenhoheit und alle Schlüssel bleiben immer beim Unternehmen Rollenbasiertes Management, 4-Augen-Prinzip Nachweisbarkeit Auditsicheres Logging und Reporting Nachweisbarkeit der Verschlüsselung von verlorenen Geräten/USB-Sticks etc. User (inkl. Admins) können Verschlüsselung nicht unterlaufen 44
NG-DP SGN8 Management Center 45
NG-DP SGN8 Client Status 46
NG-DP SGN8 Client / Datenaustausch intern FileShare am Server ios und Android 47
NG-DP SGN8 Client / Datenaustausch extern Extern im Browser Transfer über beliebiges Medium 48
NG-DP SGN8 Client / Datenaustausch extern via Mail 49
NG-DP SGN8 Client Synchronized Detect Sophos Central Endpoint erkennt Infektion am Client Protect Entladen des Schlüsselbunds Clean Bereinigen der Bedrohung Grant Schlüsselbund wieder laden 50
NG-DP SGN8 Management Center / Reporting 51
Q&A Vielen Dank! 52
Sophos Ltd. All rights reserved. 53